Datenschutz-Grundverordnung

Anwendungsbereich
Diese Regelung erfasst die Verarbeitung personenbezogener Daten von Nutzern mit Bezug zu Deutschland. Sie gilt sowohl für die Bereitstellung von Waren oder Dienstleistungen an Personen in Deutschland als auch für die Beobachtung ihres Verhaltens, unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der Europäischen Union erfolgt. Erfasst sind sowohl elektronische Datenverarbeitungssysteme als auch strukturierte, papierbasierte Ablagen. Tätigkeiten mit ausschließlich persönlichem oder familiärem Charakter fallen nicht unter diesen Anwendungsbereich.

Grundsätze der Datenverarbeitung
Die Verarbeitung personenbezogener Daten hat unter Beachtung folgender Anforderungen zu erfolgen:

• Rechtmäßigkeit, Nachvollziehbarkeit und Offenlegung gegenüber betroffenen Personen
• Zweckbindung auf eindeutig festgelegte und legitime Ziele
• Beschränkung auf das erforderliche Maß sowie Sicherstellung der Richtigkeit
• Speicherung nur für einen begrenzten Zeitraum
• Gewährleistung von Integrität und Vertraulichkeit zum Schutz vor unbefugtem Zugriff oder Offenlegung

Rechte betroffener Personen
Betroffene können ihre Rechte im Rahmen der DSGVO wahrnehmen, darunter:

• Recht auf Information, Auskunft und Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung sowie Widerspruch
• Recht auf Datenübertragbarkeit
• Recht auf Widerruf erteilter Einwilligungen
  Für Personen unter 15 Jahren ist eine Zustimmung durch Erziehungsberechtigte erforderlich.

Pflichten von Auftragsverarbeitern
Dritte, die in die Datenverarbeitung eingebunden sind, wie etwa im Bereich Logistik, Kundenservice oder Hosting, haben folgende Anforderungen einzuhalten:

• Verarbeitung ausschließlich auf Grundlage dokumentierter Weisungen
• Umsetzung geeigneter technischer und organisatorischer Sicherheitsmaßnahmen
• Unterstützung bei der Wahrnehmung von Betroffenenrechten
• Meldung von Datenschutzverletzungen
• Führung von Verzeichnissen über Verarbeitungstätigkeiten
• Bestellung eines Datenschutzbeauftragten sowie Meldung an die zuständige deutsche Aufsichtsbehörde, sofern erforderlich

Datenübermittlung in Drittländer
Werden personenbezogene Daten in Staaten außerhalb des Europäischen Wirtschaftsraums übermittelt, ist ein angemessenes Datenschutzniveau sicherzustellen. Dies kann insbesondere durch folgende Mechanismen erfolgen:

• Angemessenheitsbeschlüsse der Europäischen Kommission
• Standardvertragsklauseln (SCC)
• Ergänzende Maßnahmen wie Verschlüsselung und Zugriffsbeschränkungen

Aufsicht und Sanktionen
Die zuständige deutsche Aufsichtsbehörde, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ist befugt, Kontrollen durchzuführen, nicht konforme Verarbeitungen auszusetzen oder zu untersagen sowie Sanktionen zu verhängen. Geldbußen können bis zu 20000000 Euro oder 4% des weltweiten Jahresumsatzes betragen, wobei der höhere Betrag maßgeblich ist.

Einhaltung der Vorgaben
Es wird sichergestellt, dass betroffene Personen Einfluss auf die Verwendung ihrer Daten ausüben können. Die Abläufe der Datenverarbeitung werden transparent gestaltet und unter Berücksichtigung der einschlägigen gesetzlichen Anforderungen umgesetzt. Durch geeignete organisatorische und technische Maßnahmen werden Risiken für die Privatsphäre reduziert.